क्या पीपीए मेरे सिस्टम में जोड़ने के लिए सुरक्षित हैं और कुछ "लाल झंडे" क्या हैं?

मुझे वहां बहुत सारे दिलचस्प कार्यक्रम दिखाई देते हैं जो केवल सिस्टम में "PPA" जोड़कर प्राप्त किए जा सकते हैं लेकिन, अगर मैं सही तरीके से समझ रहा हूं, तो हमें अपने सिस्टम में सॉफ़्टवेयर जोड़ने के लिए आधिकारिक "रिपॉजिटरी" के भीतर रहना चाहिए।

क्या नौसिखिए के लिए यह जानने का कोई तरीका है कि क्या "पीपीए" सुरक्षित है या फिर इसे टाला जाना चाहिए? PPA से निपटने के दौरान उपयोगकर्ता को किन युक्तियों के बारे में जानना चाहिए?

PPA ( पर्सनल पैकेज आर्काइव ) का उपयोग आपके Ubuntu, Kubuntu या किसी अन्य PPA संगत डिस्ट्रो के लिए एक विशिष्ट सॉफ्टवेयर को शामिल करने के लिए किया जाता है। " निश्चिंतता एक पीपीए के" ज्यादातर 3 बातों पर निर्भर करता:

1. PPA किसने बनाया - वाइन या लिब्रे ऑफिस से एक आधिकारिक पीपीए जैसे ppa: libreoffice / ppa और एक PPA जो मैंने खुद बनाया है, समान नहीं हैं। आप मुझे पीपीए मेंटेनर के रूप में नहीं जानते हैं, इसलिए ट्रस्ट का मुद्दा और सुरक्षा मेरे लिए बहुत कम है (क्योंकि मैं एक भ्रष्ट पैकेज, असंगत पैकेज या कुछ और बुरा कर सकता था), लेकिन लिबरऑफिस और पीपीए के लिए उनकी वेबसाइट में प्रस्ताव है , कि यह एक निश्चित सुरक्षा जाल देता है। इसलिए पीपीए किसने बनाया है, इस पर निर्भर करता है कि वह कितने समय से पीपीए बना रहा है और उसका रखरखाव करता है, यह इस बात पर थोड़ा प्रभाव डालेगा कि पीपीए आपके लिए कितना सुरक्षित है। टिप्पणियों में ऊपर वर्णित PPA के रूप में Canonical द्वारा प्रमाणित नहीं हैं।

2. कितने उपयोगकर्ताओं ने PPA का उपयोग किया है - उदाहरण के लिए, मेरे व्यक्तिगत PPA में http://winehq.org से PPA है। क्या आप 10 उपयोगकर्ताओं के साथ मुझ पर भरोसा करेंगे जो मेरे पीपीए का उपयोग करते हुए पुष्टि करते हैं कि उनमें से 6 का कहना है कि यह एक स्कॉट रिची की पेशकश की तुलना में बेकार है : आधिकारिक शराबखाना वेबसाइट में ubuntu-wine / ppa। इसके हजारों उपयोगकर्ता (मेरे सहित) हैं जो अपने पीपीए का उपयोग करते हैं और अपने काम पर भरोसा करते हैं। यह वह काम है जिसके पीछे कई साल हैं।

3. PPA कितना अद्यतन है - बता दें कि आप Ubuntu 10.04 या 10.10 का उपयोग कर रहे हैं, और आप THAT विशेष PPA का उपयोग करना चाहते हैं। आपको पता चलता है कि उस PPA का आखिरी अपडेट 20 साल पहले था .. OO आपके द्वारा THAT PPA का उपयोग करने की संभावना कम है। क्यों?। क्योंकि पैकेज की निर्भरताएँ जो PPA की ज़रूरत हैं, बहुत पुरानी हैं और हो सकता है कि अपडेट किए गए लोग इतना कोड बदल दें कि वे PPA के साथ काम न करें और संभवत: आपके सिस्टम को उस PPA के किसी भी पैकेज को आपके सिस्टम में स्थापित करने पर आपके सिस्टम को तोड़ दें।

   यदि कोई PPA अपडेट किया जाता है तो इसका उपयोग करने के निर्णय को प्रभावित करता है यदि वह THAT PPA का उपयोग करना चाहता है। यदि नहीं, बल्कि वे एक दूसरे के लिए डेट पर जाना चाहेंगे। आप नवीनतम Ubuntu के साथ बंशी 0.1 या वाइन 0.0.0.1 या ओपनऑफिस 0.1 बीटा अल्फा ओमेगा थंडरकैट संस्करण नहीं चाहते हैं। आप जो चाहते हैं वह एक पीपीए है जो आपके वर्तमान उबंटू में अपडेट किया गया है। याद रखें कि एक पीपीए का उल्लेख है कि उबंटू संस्करण किसके लिए बना है या कई उबंटू संस्करणों के लिए बनाया गया था।

   इसके उदाहरण के रूप में यहां उन संस्करणों की एक छवि दी गई है जो शराब पीपीए में समर्थित हैं:

   

   यहां आप देख सकते हैं कि यह पीपीए डायनासोर के बाद से समर्थित है।

   PPA कितना अद्यतन है, इसके बारे में एक BAD चीज, यदि PPA अनुरक्षक PPA को एक विशिष्ट पैकेज के नवीनतम, सबसे बड़े और अत्याधुनिक संस्करण में धकेल देता है। इसका नकारात्मक पक्ष यह है कि यदि आप किसी चीज़ का नवीनतम परीक्षण करने जा रहे हैं, तो आप कुछ बग ढूंढने जा रहे हैं। PPA के साथ चिपके रहने की कोशिश करें जो एक स्थिर संस्करण में अपडेट किए गए हैं और एक अस्थिर, परीक्षण या देव संस्करण नहीं है क्योंकि इसमें कीड़े हो सकते हैं। नवीनतम होने का विचार भी टेस्ट का है और कहते हैं कि क्या समस्याएं मिलीं और उन्हें हल करें। इसका एक उदाहरण दैनिक Xorg PPA और दैनिक मोज़िला PPA हैं। यदि आपको दैनिक समाचार मिलते हैं तो आपको X.org या फ़ायरफ़ॉक्स के लिए लगभग 3 दैनिक अपडेट मिलेंगे। इसका कारण यह है कि काम वहाँ रखा गया है और यदि आप उनके दैनिक पीपीए का उपयोग कर रहे हैं तो इसका मतलब है कि आप बग शिकार या विकास में मदद करना चाहते हैं और उत्पादन वातावरण के लिए नहीं।

मूल रूप से इस 3 के साथ रहें और आप सुरक्षित रहेंगे। हमेशा पीपीए के निर्माता / अनुरक्षक की तलाश करें। हमेशा देखें कि क्या कई उपयोगकर्ताओं ने इसका उपयोग किया है और हमेशा यह देखें कि पीपीए कितना अद्यतन है। जैसी जगहों OMGUbuntu , Phoronix , Slashdot , एच , WebUp8 और AskUbuntu में भी यहां अच्छा स्रोत कई उपयोगकर्ताओं और लेख के बारे में बात और कुछ PPAs है कि वे परीक्षण किया है की सिफारिश करने को खोजने के लिए कर रहे हैं।

स्थिर पीपीए उदाहरण - लिब्रे ऑफिस, ओपनऑफिस, बंशी, वाइन, कुबंटू, उबंटू, जुबांटु, प्लेडेब, गेटडेब, वीएलसी मेरे अनुभव से अच्छे और सुरक्षित पीपीए हैं।

अर्ध स्थिर पीपीए - एक्स-स्वात पीपीए रक्तस्रावी धार और स्थिर के बीच मध्य पीपीए में है।

ब्लीडिंग एज PPA - Xorg-Edgers एक ब्लीडिंग एज PPA है हालांकि मुझे यह उल्लेख करना चाहिए कि 12.04 के बाद, यह PPA अधिक से अधिक स्थिर हो गया है। मैं अभी भी इसे ब्लीडिंग एज के रूप में चिह्नित करूंगा लेकिन यह एंड यूजर्स के लिए पर्याप्त है।

चयन करने योग्य पीपीए - हैंडब्रेक यहां उपयोगकर्ता को चुनने का एक तरीका प्रदान करता है , क्या आप एक स्थिर संस्करण चाहते हैं या क्या आप रक्तस्राव किनारे (जिसे स्नैपशॉट भी कहा जाता है) संस्करण चाहते हैं। इस मामले में आप वह चुन सकते हैं जिसका आप उपयोग करना चाहते हैं।

ध्यान दें कि उदाहरण के लिए Xorg-Edgers PPA के साथ X-Swat ppa का उपयोग करने के मामले में, आपको दोनों के बीच एक मिश्रित (Xorg-Edgers के लिए प्राथमिकता के साथ) मिलेगा। ऐसा इसलिए है क्योंकि दोनों लगभग एक ही पैकेज को शामिल करने की कोशिश कर रहे हैं, इसलिए वे एक-दूसरे को अधिलेखित कर देंगे और केवल सबसे अधिक अपडेटेड आपके रिपॉजिटरी में दिखाई देगा (यदि आप मैन्युअल रूप से इसे एक्स-स्वैट से पैकेज हड़पने के लिए कहेंगे तो छोड़कर)।

कुछ PPA आपके कुछ पैकेजों को तब अपडेट कर सकते हैं जब आप उन्हें अपने रिपॉजिटरी में जोड़ते हैं क्योंकि वे अपने सिस्टम पर PPA सॉफ़्टवेयर को सही तरीके से काम करने के लिए अपने स्वयं के संस्करण के साथ एक निश्चित पैकेज के साथ ओवरराइट करेंगे। यह कुछ कोड पैकेज, अजगर संस्करण आदि हो सकते हैं। अन्य जैसे लिबरऑफिस पीपीए वहां लिबर ऑफिस पैकेज स्थापित करने के लिए आपके सिस्टम से ओपनऑफिस के सभी अस्तित्व को हटा देगा। मूल रूप से पढ़ा है कि अन्य उपयोगकर्ताओं ने किसी विशिष्ट पैकेज के बारे में क्या टिप्पणी की है और यह भी पढ़ें कि क्या पैकेज आपके उबंटू संस्करण के साथ संगत है।

जैसा कि नीचे टिप्पणी जेरेमी बिचा ने सुझाव दिया है, कुछ रक्तस्रावी धार (पीपीए जो पीपीए में अल्फा, बीटा या आरसी गुणवत्ता सॉफ़्टवेयर को शामिल करने के साथ बहुत ऊपर तक रहती हैं) संभावित रूप से आपके पूरे सिस्टम को नुकसान पहुंचा सकती हैं (सबसे खराब स्थिति में)। जेरेमी कई उदाहरणों का उल्लेख करता है।

लॉन्चपैड पर पीपीए को विकसित करने के लिए, योगदानकर्ता को ubuntu कोड ऑफ कंडक्ट पर हस्ताक्षर करना चाहिए । यह दर्शाता है कि डेवलपर को न्यूनतम मानकों का पालन करना चाहिए।

आमतौर पर लोगों को ubuntuforums से यह देखने के लिए परामर्श करना चाहिए कि किसने विशेष रूप से ppa का उपयोग किया है और यदि वे किसी भी मुद्दे का कारण बन सकते हैं।

एक "नौसिखिए" या "नोब" के लिए - मेरी सबसे अच्छी सलाह पीपीए के स्पष्ट होने तक है जब तक आप आश्वस्त नहीं होते हैं कि आप कमांड लाइन, संभावित त्रुटि संदेशों और कुछ चीजों के बारे में समझते हैं कि मुद्दों का निदान कैसे करें।

Ppa के कारणों को दूर करने के लिए, आप ज्यादातर समय " ppa_purge " का उपयोग कर सकते हैं

यदि आप घबराहट महसूस कर रहे हैं, तो क्लोनज़िला जैसे उपकरण के साथ अपने कंप्यूटर के एक छवि बैकअप पर विचार करें । इस तरह, अगर चीजें गलत हो जाती हैं और आप इसे हल नहीं कर सकते हैं, तो कम से कम आपके पास अपने कंप्यूटर को वापस उसी तरह से बहाल करने का तरीका है जिस तरह से आप खेलना शुरू करने से पहले थे।

कहा जा रहा है कि सभी, ppa सॉफ्टवेयर के नवीनतम संस्करण प्राप्त करने के लिए बेहद उपयोगी हैं - खासकर उन लोगों के लिए जो हर 6 महीने में अपग्रेड करने की कोशिश नहीं करते हैं और ubuntu के LTS संस्करण के साथ चिपके रहते हैं।

यह केवल मैलवेयर की बात नहीं है, जैसा कि पहले ही कहा जा चुका है। यह भी है कि कुछ सॉफ्टवेयर वास्तव में अभी भी परीक्षण के चरण में हैं और उत्पादन के उपयोग के लिए तैयार नहीं हैं। यदि आप इसे स्थापित करते हैं और काम पूरा करने के लिए इस पर भरोसा करते हैं, तो आप पा सकते हैं कि यह छोटी गाड़ी है, अविश्वसनीय है, और दुर्घटनाग्रस्त हो सकती है - आपके द्वारा किए गए काम के बिना।

इसमें से कुछ उबंटू के अन्य पहलुओं जैसे कि यूनिटी या गनोम के साथ भी अच्छी तरह से नहीं मिल सकते हैं, जिससे समस्याएं पैदा होती हैं, जिन्हें ट्रेस करना मुश्किल है, और शायद आपके सिस्टम को अस्थिर भी बना सकता है।

ऐसा इसलिए नहीं है क्योंकि सॉफ्टवेयर खराब है, बल्कि इसलिए कि यह अभी तक पूरी तरह से परीक्षण नहीं किया गया है, या क्योंकि यह उपलब्ध कराया गया था ताकि लोग इसे परीक्षण कर सकें, लेकिन अभी तक आम तौर पर उत्पादन सॉफ्टवेयर के रूप में जारी करने का इरादा नहीं है। इसलिए आपको सावधानी बरतनी चाहिए, हालांकि इसमें से कुछ वास्तव में काफी अच्छा है।

कई महीने पहले मैंने एक विशेष पीपीए से एक अनुशंसित पैकेज स्थापित किया था, और इसने मेरे सिस्टम को पर्याप्त रूप से रौंद दिया था कि मुझे उबंटू को फिर से स्थापित करना पड़ा। मैं एक नया उपयोगकर्ता था और नहीं जानता था कि क्या करना है; थोड़े अधिक ज्ञान के साथ, मैं समस्या को हल करने में सक्षम हो सकता हूं और इसे पुनर्स्थापित किए बिना इसे पुनर्स्थापित कर सकता हूं (हालांकि वह भी, उबंटू सीखने में मेरे लिए उपयोगी था, लेकिन अगर मैंने अपनी मशीन पर बचाया काम किया होता तो मैं इसे खो देता) ।

इसलिए सावधान रहें, सवाल पूछें, लगातार बैकअप बनाएं (!!!), और यह जान लें कि मैलवेयर की संभावना नहीं है (हालांकि असंभव नहीं है)।

यहां दूसरों द्वारा सूचीबद्ध सभी चिंताओं को समझना बेहद जरूरी है। उन्होंने कहा कि चूंकि यह खुला स्रोत है, हम उबुन में पैकेज के संस्करण से पीपीए को बिल्कुल बदल दिया है। हम एक उदाहरण के रूप में इस डुप्लिकेट से पीपीए का उपयोग करेंगे ।

सबसे पहले हम स्रोत को PPA से dgetएक टूल लेंगे, जो dscफाइल में लिंक दिए गए डेबियन सोर्स पैकेज के सभी टुकड़ों को डाउनलोड करेगा :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

मुझे वह लिंक "पैकेज विवरण देखें" पर क्लिक करके मिला:

और तब:

अगला, हमें उबंटू पुरालेख में पैकेज का स्रोत मिलेगा:

apt-get source unity

अंत में, हम debdiffदो पैकेजों के स्रोत के बीच अंतर देखने के लिए उपयोग करेंगे :

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

उस कमांड का आउटपुट लगभग तीन सौ लाइन लंबा है, इसलिए मैं इसे सीधे विंडो के बजाय एक पास्टबिन पर रखूंगा । अब, मैं इस बात की पुष्टि नहीं कर सकता कि कोड कितना अच्छा है क्योंकि मुझे वास्तव में C ++ का पता नहीं है, लेकिन ऐसा लगता है कि यह वही कर रहा है जो दावा करता है और कुछ भी दुर्भावनापूर्ण नहीं है।

एक PPA एक वेब फ़ोल्डर है जिसमें सॉफ्टवेयर है जिसे आप इंस्टॉल कर सकते हैं। यह वास्तव में उससे अधिक जटिल नहीं है। जब आप एक पैकेज स्थापित करते हैं, तो आप रूट विशेषाधिकारों के साथ करते हैं और पैकेज में स्क्रिप्ट होती हैं जिन्हें चलाया जाता है, इसलिए उन्हें रूट के रूप में चलाया जाता है। इसका मतलब है कि किसी भी सॉफ़्टवेयर को स्थापित करना खतरनाक है और आपको डेवलपर या वितरक पर भरोसा करने की आवश्यकता है।

उपयुक्त संग्रह, पीपीए या अन्यथा, आपके द्वारा इंस्टॉल किए गए सॉफ़्टवेयर के अपडेट के लिए नियमित रूप से मतदान किया जाता है। इसके साथ "समस्या" यह है कि कोई भी आपके द्वारा स्थापित सॉफ़्टवेयर का एक नया पैकेज प्रदान कर सकता है। उदाहरण के लिए, आप उस विषय का एक अच्छा विषय और स्वचालित अपडेट प्राप्त करने के लिए एक PPA जोड़ सकते हैं। लेकिन एक बार जब आप उस रिपॉजिटरी को जोड़ लेते हैं, तो मालिक उदाहरण के लिए एक पैच ओपनश-सर्वर पैकेज जोड़ सकता है, और यह उबंटू में एक अपडेट के रूप में दिखाई देगा। पीपीए को जोड़ने के एक साल बाद ऐसा किया जा सकता है, इसलिए आपको अपडेट पर ध्यान देने की आवश्यकता है।

PPA सिस्टम तृतीय-पक्ष को पैकेजों के साथ छेड़छाड़ करने से रोकता है, हालाँकि, यदि आप डेवलपर / वितरक पर भरोसा करते हैं, तो PPA बहुत सुरक्षित हैं। उदाहरण के लिए, यदि आप Google Chrome इंस्टॉल करते हैं, तो वे एक PPA जोड़ते हैं ताकि आपको इसके लिए स्वचालित अपडेट प्राप्त हों। वे "डिबेट http://dl.google.com/linux/chrome/deb/ स्थिर मुख्य" जोड़ते हैं । यदि आपके द्वारा उपयोग किया जाने वाला DNS सर्वर कहीं और dl.google.com को हैक करने के लिए हैक किया गया था, तो वे उन सभी पर पैच किए गए सॉफ़्टवेयर को धक्का दे सकते थे जिन्होंने क्रोम स्थापित किया था। लेकिन उबंटू ने उन्हें स्थापित करने से इंकार कर दिया क्योंकि वे गूगल्स निजी कुंजी के साथ हस्ताक्षर नहीं कर सकते थे। तो उस संबंध में, पीपीए बहुत सुरक्षित हैं।

यह कहना संभव नहीं है कि एक पीपीए सुरक्षित है या नहीं। यह उन लोगों पर निर्भर करता है जो इसका उपयोग सॉफ़्टवेयर वितरित करने के लिए करते हैं। मुफ्त सॉफ्टवेयर के साथ, लोग स्रोत को देख सकते हैं और देख सकते हैं कि यह सुरक्षित है या नहीं। जब बहुत से लोग एक संग्रह का उपयोग करते हैं, जैसे कि उबंटू नियमित अभिलेखागार, तो आपकी सहकर्मी समीक्षा होती है। कुछ उपयोगकर्ताओं के साथ छोटे अभिलेखों में ऐसा नहीं होता है, इसलिए वे कम भरोसेमंद होते हैं। मुख्य सबक यह है कि कोई भी बात नहीं है कि आप किस सिस्टम का उपयोग करते हैं, आपको सॉफ़्टवेयर स्थापित करते समय ध्यान रखना चाहिए।

लुइस अल्वाराडो के जवाब पर निर्माण , आपको इन जोखिमों के बारे में पता होना चाहिए:

• दुर्भावनापूर्ण पैकेज -पैकेज आपको नुकसान पहुंचाने की कोशिश कर सकते हैं। यह उनके लिए आसान है क्योंकि वे प्रशासनिक विशेषाधिकारों के साथ किसी भी कोड को चला सकते हैं।
• खराब गुणवत्ता या असंगत सॉफ़्टवेयर- कोई एप्लिकेशन ठीक से काम नहीं कर सकता है। यह गलती से नुकसान का कारण बन सकता है, उदाहरण के लिए, अन्य सॉफ़्टवेयर के साथ हस्तक्षेप करना, आपके डेटा को नष्ट करना या निजी जानकारी लीक करना।

और आपको इन कारकों के प्रति चौकस रहना चाहिए:

• अनुरक्षक की ईमानदारी - अनुचर गुप्त रूप से आपको नुकसान पहुंचाने की कोशिश करते हैं?
• अनुरक्षक की सुरक्षा - यदि अनुचर किसी तीसरे पक्ष द्वारा हमला करने के लिए असुरक्षित है?
• अनुरक्षक की विश्वसनीयता - क्या अनुरक्षक एक उचित समय सीमा के भीतर अद्यतन की आवश्यकता का जवाब देता है? क्या वे लंबी अवधि में पीपीए को बनाए रखने के लिए प्रतिबद्ध हैं?
• भंडार द्वारा हस्ताक्षरित रिपॉजिटरी- ए पैकेज की सुरक्षा ?
• सॉफ्टवेयर का प्रदर्शन- क्या सॉफ्टवेयर बग-मुक्त है और आपके सिस्टम के अनुकूल है?

मालवेयर जैसी चीजों के लिए पीपीए पर पैकेज की जाँच नहीं की जाती है। इसलिए जब कोई आपके लिए XBMC की तरह कुछ पैकेजिंग कर सकता है, तो वे बहुत आसानी से कुछ स्पाइवेयर / मैलवेयर भी जोड़ सकते हैं। यही कारण है कि आपको किसी भी यादृच्छिक पीपीए को नहीं जोड़ना चाहिए।

जब आप ppa जोड़ते हैं और इसके माध्यम से एक प्रोग्राम स्थापित करते हैं।

मूल रूप से आप अनुमत निष्पादन योग्य क्षेत्र (/ बिन / / sbin / / usr / बिन /) में उस कार्यक्रम को पूरा करने की अनुमति देते हैं।

अब यदि प्रोग्राम ही है / किसी तरह मैलवेयर है तो सिस्टम इसकी शिकायत नहीं करेगा क्योंकि आप एक हैं जिन्होंने अपने भरोसेमंद को देखते हुए ppa जोड़ा है।

जब कार्यक्रम उबंटू रिपॉजिटरी से आता है, तो उन्हें पहले चेक किया जाता है (मैं अच्छी तरह से कहना चाहूंगा लेकिन मुझे नहीं पता: पी) इसलिए उबंटू रिपॉजिटरी के लोग निश्चित रूप से मैलवेयर / स्पाइवेयर से मुक्त हैं।

किसी अन्य ppa के लिए आप / उपयोगकर्ता को यह तय करना होगा कि उस पर भरोसा करना है या नहीं।